Здравствуйте, гость ( Вход | Регистрация )

beirel-telecom
> Прежде чем задать вопрос

Прежде чем задать вопрос, убедитесь, что его еще не задавали и ответ на него уже не дали.
Проверьте Раздел Новости
Воспользуйтесь расширенным Поиском, к нему прилагается помощь на русском языке по методам поиска.
Также не забываем про общие
ПРАВИЛА форумов.

Уважайте друг друга и не создавайте тем-близнецов.

ВНИМАНИЕ!
Если у Вас по каким-то причинам не работает доступ в сеть и Интернет, то Вам необходимо оставить сообщение об этом через Личный кабинет пользователя (доступен и из Интернет) или, если Вы не знаете свой логин и пароль к ЛК, написать на адрес support@beirel.ru, обязательно указав ФИО, на которое оформлен договор, фактический адрес, контактный телефон и подробно описать суть проблемы, если требуется связаться с Вами по телефону, то укажите это в сообщении.

Приоритет на исправление имеют заявки полученные из Личного кабинета, по телефону и по электронной почте.

В случае превышения срока восстановительных работ, согласно сроку, отведенному в договоре(5 дней), Вы вправе написать заявление о компенсации, согласно правилам, описанным в договоре.

 
Reply to this topicStart new topic
> Сетевые атаки, Локальные
 
Waldo
сообщение 27.7.2007, 1:58
Сообщение #1


Ст.лейтенант
Иконка группы

Группа: Пользователи
Сообщений: 1527
Регистрация: 28.8.2006
Из: Pushkino

Пол:
Сегмент: 12



Прошу обратить внимание на айпишник 10.193.12.67

а вот лог:
2:33:19 Атакующий заблокирован Обнаружено сканирование портов с адреса ws67.12.beirel.lan (порты: TCP (1377), ICMP (Эхо запрос/0), TCP (1374, 1373, 1372, 1371))

Хочу заметить, что именно с этого адреса было произведено наибольшее количество запросов и попыток скана портов за один промежуток времени.

Сообщение отредактировал Waldo - 27.7.2007, 2:00
Go to the top of the page
 
+Quote Post
 
Bob
сообщение 27.7.2007, 10:40
Сообщение #2


Ст.лейтенант
Иконка группы

Группа: Пользователи
Сообщений: 1552
Регистрация: 22.10.2005
Из: NSK-MSK |^_^

Пол:
Сегмент: 12



Аналогично с данного адресса тоже , очень часто. Увы логи нечайно убил , а то выложил бы для прикола.
Хотя уже недели 2 тишина =)

Прикрепленный файл  Untitled_1.jpg ( 70,29 килобайт ) Кол-во скачиваний: 0


На многие сканы файр молча реагировал (блочит всё что можно, пока я не скажу) , а именно на этот адрес сильно ругался.

PS
Товарищи пользуйтесь антивирусами (и обновляйте их чаще) , а то вы сами не подозревая того можете стать чьим то ботом =)
Go to the top of the page
 
+Quote Post
 
Waldo
сообщение 27.7.2007, 13:40
Сообщение #3


Ст.лейтенант
Иконка группы

Группа: Пользователи
Сообщений: 1527
Регистрация: 28.8.2006
Из: Pushkino

Пол:
Сегмент: 12



Цитата:
(Bob @ 27.7.2007, 11:40) *
Аналогично с данного адресса тоже , очень часто. Увы логи нечайно убил , а то выложил бы для прикола.
Хотя уже недели 2 тишина =)

Прикрепленный файл  Untitled_1.jpg ( 70,29 килобайт ) Кол-во скачиваний: 0


На многие сканы файр молча реагировал (блочит всё что можно, пока я не скажу) , а именно на этот адрес сильно ругался.

PS
Товарищи пользуйтесь антивирусами (и обновляйте их чаще) , а то вы сами не подозревая того можете стать чьим то ботом =)

У меня тоже самое аутпост вчера выдал. Атаковались сервисы netbios и system.
Мне написал хозяин этого айпишника, что его типа хакнули 2 недели назад, а сам он ничего не отправлял. Вот такие вот дела.
В последнем случае злоумышленник с помощью эксплойта в аутпосте получил доступ к преобразованию файлов оного и тем самым запретил мне доступ к логам детектора атак. Неплохо. Сказать с какого апишника была атака неск-ко дней назад, сложно, но я думаю что все-таки с 12.67.
Пока что атаки прекратились, у меня по времени в 02.33, посмотрим дальше.

Сообщение отредактировал Waldo - 27.7.2007, 13:43
Go to the top of the page
 
+Quote Post
 
shade
сообщение 27.7.2007, 14:39
Сообщение #4



Иконка группы

Группа: Пользователи
Сообщений: 2370
Регистрация: 17.7.2007

Пол:
Сегмент: 33



Визги файрволла на сканирование портов может быть вызвано программами NetView или LanScope.

Цитата:
последнем случае злоумышленник с помощью эксплойта в аутпосте получил доступ к преобразованию файлов оного и тем самым запретил мне доступ к логам детектора атак. Неплохо.


извините - это ерунда.

Касательно атак и отражений. Всю дрянь не искоренить никогда. Даже если у всех будут стоят лицензионные программы (в т.ч. ОС), которые будут обновляться, обновлять сигнатуры поисковых баз, модулей поиска и всего прочего.

netbios и system - тоже не показатель. те же нетвью и ланскоп разрешают скан с проверкой имени хоста + возможность скана на скрытые шары + скан портов на возможные сервисы: ftp, http, pop/smtp и прочее.
Go to the top of the page
 
+Quote Post
 
pushkino
сообщение 27.7.2007, 15:13
Сообщение #5


Старшина
Иконка группы

Группа: Клиенты
Сообщений: 475
Регистрация: 1.4.2005

Пол:
Сегмент: не местный



сканирование - это как смотреть в окна. какието открыты, какието закрыты))
а ты сидишь по ту сторону и вдуг видишь что ктото пялится в твое окно.
ктото нервничает - "ща выйду набью ему морду" , ктото шторку закрывает и не парится ))))
вот если он тебе в окошко какашки кидает, это да, уже достойно отдельного обсуждения с переходом на личности )))
Go to the top of the page
 
+Quote Post
 
Bob
сообщение 27.7.2007, 15:46
Сообщение #6


Ст.лейтенант
Иконка группы

Группа: Пользователи
Сообщений: 1552
Регистрация: 22.10.2005
Из: NSK-MSK |^_^

Пол:
Сегмент: 12



дело в том что я знаю что есть lanscope и тд , их сканы он тихо блокирует и всё , а вот именно на этот IP ругается
Go to the top of the page
 
+Quote Post
 
shade
сообщение 27.7.2007, 16:12
Сообщение #7



Иконка группы

Группа: Пользователи
Сообщений: 2370
Регистрация: 17.7.2007

Пол:
Сегмент: 33



Цитата:
(Bob @ 27.7.2007, 16:46) *
дело в том что я знаю что есть lanscope и тд , их сканы он тихо блокирует и всё , а вот именно на этот IP ругается


Если я не ошибаюсь, в настройках аутпоста есть возможность установки порогового значения сканов в секунду, до которого аутпост просто будет молчать. Возвращаясь к вопросу о настройках сканера, он может сканировать на все доступные сервисы и порты, соответственно скорость запросов/сек. может выйти за пределы критических, и аутпост начнет материться. А про те варианты, когда он молчит - значения не выходят и юзер сканирует на 21 и 80 порты (допустим).

Вычислить злой умысел в данном случае достаточно сложно. Заблокировав клиента не разобравшись это неправильно.
Go to the top of the page
 
+Quote Post
 
Waldo
сообщение 27.7.2007, 19:29
Сообщение #8


Ст.лейтенант
Иконка группы

Группа: Пользователи
Сообщений: 1527
Регистрация: 28.8.2006
Из: Pushkino

Пол:
Сегмент: 12



Цитата:
(shade @ 27.7.2007, 15:39) *
Визги файрволла на сканирование портов может быть вызвано программами NetView или LanScope.
извините - это ерунда.

Это не визги фаервола, а блокирование неоднократных попыток отправить пакет, даже хоть на закрытый порт. Я понимаю, что вы хотели сказать, но я вам сказал сразу, именно с этого айпишника была наибольшая активность. И Боб подтвердил лишний раз. Так что не надо меня учить как и где "визжит" фаервол, я прошу от вас четкое реагирование на подобные сетевые атаки. Нет я конечно могу наплевать и закрыть все порты подряд, а оставить только необходимые, но меня раздражают такие вот "нападки".

Цитата:
Касательно атак и отражений. Всю дрянь не искоренить никогда. Даже если у всех будут стоят лицензионные программы (в т.ч. ОС), которые будут обновляться, обновлять сигнатуры поисковых баз, модулей поиска и всего прочего.

Причем здесь лиц. программы? Я вам говорю о том, что кто-то упорно долбится. Ладно на закрытый порт, а если это будет происходить на открытый DCOM с попыткой эксплойта, как это было у sallivan? Повторяю вам ещё раз, был не просто скан портов с этого айпишника, а упорные попытки отправить пакет на уже отсканированные порты.

Цитата:
netbios и system - тоже не показатель. те же нетвью и ланскоп разрешают скан с проверкой имени хоста + возможность скана на скрытые шары + скан портов на возможные сервисы: ftp, http, pop/smtp и прочее.

я это прекрасно знаю, но прочитайте внимательнее сообщение еще раз и пост Боба. Это не просто "глядение из другого окна к тебе в окно" как отнюдь неверно подметил Такабо, а попытка это самое стекло "разбить". А вот это уже повод, чтобы "набить морду".

PS. По поводу атаки на мой компьютер. Из-за моей вины, кто-то вырубил мне аутпост. Просто я его не обновлял давно, а у него оказался эксплойт, дырочка, вот его и вырубили, при этом постирали логи. ;)

Цитата:
(shade @ 27.7.2007, 17:12) *
Вычислить злой умысел в данном случае достаточно сложно.

У нас всегда, пока петух жаренный в одно место не клюнет...

Злой умысел в подобных ситуациях и вычислять не нужно - он очевиден. Следуя вашей логике, проще всю вину спихнуть на ланскоп и нетвью.

Цитата:
Заблокировав клиента не разобравшись это неправильно.

Я вас и попросил разобраться.

Сообщение отредактировал Waldo - 27.7.2007, 19:35
Go to the top of the page
 
+Quote Post
 
Waldo
сообщение 27.7.2007, 19:36
Сообщение #9


Ст.лейтенант
Иконка группы

Группа: Пользователи
Сообщений: 1527
Регистрация: 28.8.2006
Из: Pushkino

Пол:
Сегмент: 12



Цитата:
(Bob @ 27.7.2007, 16:46) *
дело в том что я знаю что есть lanscope и тд , их сканы он тихо блокирует и всё , а вот именно на этот IP ругается

вот именно...

Сообщение отредактировал Waldo - 27.7.2007, 19:43
Go to the top of the page
 
+Quote Post
 
L1x
сообщение 28.7.2007, 7:13
Сообщение #10


Мл.Сержант
Иконка группы

Группа: Пользователи
Сообщений: 193
Регистрация: 30.1.2007
Из: Broadway

Пол:
Сегмент: 12



Извените конечно но я большую часть написаного не понел но я знаю владельца етого IP
ему ето не надо да и мозгов не хватит tease.gif
Знаю только то что у него вирус нормальный какойто сидит ....
PS. может ето из за вируса ?
Go to the top of the page
 
+Quote Post
 
Waldo
сообщение 28.7.2007, 20:34
Сообщение #11


Ст.лейтенант
Иконка группы

Группа: Пользователи
Сообщений: 1527
Регистрация: 28.8.2006
Из: Pushkino

Пол:
Сегмент: 12



Цитата:
(L1x @ 28.7.2007, 8:13) *
Извените конечно но я большую часть написаного не понел но я знаю владельца етого IP
ему ето не надо да и мозгов не хватит tease.gif
Знаю только то что у него вирус нормальный какойто сидит ....
PS. может ето из за вируса ?

Конечно может и из-за вируса. Но то что он у него в системе сидел - всеравно его ответственность. Я повторюсь, попытка "посмотреть в окно" это ещй пол беды, а вот попытки это самое стекло "разбить", уже не очень то радуют. ;) Т.ч. надо следить за своей системой и за тем, что в ней творится.

Сейчас атаки прекратились, видимо пользователь как и сказал - переставил винду.

Сообщение отредактировал Waldo - 28.7.2007, 20:36
Go to the top of the page
 
+Quote Post
 

Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


 

RSS Текстовая версия Сейчас: 28.3.2024, 19:47